スマートフォンハッキングツール Cellebrite、ほとんどの Pixel デバイスからデータ抽出可能…例外は GrapheneOS のみ

 (arstechnica.com)
3 ポイント 投稿者 GN⁺ 2025-11-01 | 1件のコメント | WhatsAppで共有
  • Cellebrite の内部ブリーフィングが流出し、Pixel 6〜9 シリーズがハッキングツールによるデータ抽出対象であることが明らかになった
  • Cellebrite はイスラエルに本社を置くデジタルフォレンジック企業で、世界中の捜査機関や情報機関にスマートフォン・タブレットなどデジタル機器のデータ抽出・復旧・分析ツールを販売している
  • 主力製品は UFED (Universal Forensic Extraction Device) という装置で、「ロックされたスマートフォンのメッセージ/メール/通話履歴/写真/GPS などあらゆるデータをハッキングするツール」
  • 匿名ユーザーが Cellebrite のビデオ会議に不正アクセスし、Pixel デバイスごとの対応状況表をキャプチャして、GrapheneOS フォーラムに投稿した
  • 表によると、GrapheneOS をインストールした Pixel は2022年以降のバージョンから BFU/AFU/Unlocked のすべての状態で安全で、最新ビルドでは完全にデータ抽出不可
  • 一方で 純正 Pixel OS では、ロック解除前(BFU)、解除後(AFU)、完全解除(Unlocked) のすべての状態でデータにアクセス可能

Cellebrite の内部情報流出

  • 匿名ハッカー rogueFedCellebrite の Teams ブリーフィングにアクセスし、Pixel スマートフォンの対応リストをキャプチャして、GrapheneOS フォーラムに投稿した
    • この会議は法執行機関向けの非公開ブリーフィングで、404 Media がこの投稿を追加取材で報じた
    • ぼやけたスクリーンショット画像には、Cellebrite の機器がハッキング可能な一覧として Pixel 6、7、8、9 シリーズが含まれており、Pixel 10 は一覧にない
  • BFU、AFU、Unlocked のすべての状態でデータ抽出可能
    • BFU (Before First Unlock): 再起動後、まだロック解除されていない状態で、最も強力な暗号化が適用される
    • AFU (After First Unlock): 一度ロックが解除された後の状態で、一部データへのアクセスが可能
    • Unlocked: 完全に解除された状態で、データアクセスが最もしやすい
  • Cellebrite は 純正 Pixel OS について、すべての状態でデータ抽出可能と明記していたが、パスコード総当たり(brute-force) 機能はないとしている

GrapheneOS のセキュリティ優位性

  • GrapheneOS を導入したデバイスは、2022年以降のビルドから BFU/AFU 状態でもデータ抽出不可
    • Pixel 8、9 シリーズは GrapheneOS 基準で Cellebrite のアクセスを完全遮断
    • 2024年以降のビルドでは、Unlocked 状態でも複製不可能
  • GrapheneOS は Google サービス非搭載強化された暗号化ポリシーによってセキュリティを高めている
  • Cellebrite の内部文書でも、**「GrapheneOS は Google の標準 OS より安全」**と言及されている

その他の情報

  • Cellebrite は eSIM の複製不可という問題にも言及しており、Pixel 10 シリーズは物理 SIM を廃止したことでこの制約がさらに強まる
  • 流出させた人物は、2回にわたって Teams 会議に接続しても発覚しなかったと主張しているが、主催者名が露出したため、今後は接続制限が強化されるとみられる
  • Ars Technica は、なぜ小規模な非営利団体が開発したカスタム ROM が公式 Pixel OS より産業用の携帯端末ハッキングに強いのかについて Google に公式見解を求めたが、Google からの回答はまだない

関連記事

1件のコメント

 
GN⁺ 2025-11-01
Hacker Newsのコメント

  • 私がいちばん気になったのは、「有志が作ったカスタムROMが、なぜ公式のPixel OSよりも業界レベルのハッキングに強いのか?」という点。記者はGoogleに問い合わせたが、まだ回答はないとのこと

    • GrapheneOSは実際にはボランティアプロジェクトではない。約10人の有給開発者がおり、非営利財団として寄付を受けて開発者の給与やインフラ費用を賄っている。Ars Technicaもこの点を訂正し、もはや「ボランティア」とは書いていない
    • GrapheneOSが本当にハッキングしにくいのか、それともCellebriteが市場シェアの低いOSなのであえて対応していないだけなのか気になる
    • GrapheneOSは、使い勝手を犠牲にするセキュリティ重視の設計を採っている。一般ユーザーには不便かもしれないが、その分だけ強固だ。Googleがこの方式を採用すれば、一部のユーザーを失う可能性がある。たとえばこのRedditスレッドでも言及されているように、Google Payが完全に省かれている
    • Googleは政府の要求に応じなければならない企業であり、非営利団体より制約が多い。Ron Wydenが2023年に指摘したように、Appleが政府にプッシュ通知データを提供した事例のような構造的な弱点が存在する

  • SignalブログのCellebrite脆弱性に関する記事を見ると、Cellebriteは標的のスマートフォンを自動でハッキングするソリューションを作っているが、その過程で自社の機器が逆にハッキングされるリスクもある

  • ぼかしのない完全版の文書を共有する: Cellebrite Android Document (2024). 「android os access support matrix」で検索すれば見つけられた

    • ただし、その文書は1年半前の資料なので最新情報ではない。セキュリティは攻撃側と防御側の終わりのない競争なので、こうした更新はいつでも歓迎だ
    • 新しい文書にはPixel 9が載っていないので、記事の画像は更新版のものと思われる

  • Cellebriteが文書内でGrapheneOSに直接言及していた事実だけでも、このプロジェクトの専門性と目的意識が証明されていると思う

  • 出典は以前のHNスレッド

  • Pixel 10シリーズが物理SIMを廃止してeSIMのみ対応になるという話には驚いた。メキシコ旅行中は空港の7-11でその場でSIMを買って使えたが、eSIMだとこうした手軽さが失われそうだ

    • eSIMはまるで問題のない場所に解決策を持ち込んだ感じだ。消費者は物理SIMで十分満足している。メーカーがユーザーへの支配を強めようとしているように見える
    • 旅行前にプリペイドeSIMをあらかじめ購入しておくこともできる
    • 一方で、モンテネグロやセルビアのようにSIMの入手が難しい地域では、eSIMのほうがはるかに便利だ。オンラインですぐ購入できるし、「全世界対応eSIM」もある。eSIMの普及のおかげでローミング料金の引き下げも起きているようだ
    • ただし、eSIMへの切り替え手続きは依然として面倒だ。カスタマーサポートに何度も連絡する必要があり、丸1日以上かかる。物理SIMの差し替えなら10秒で終わる。技術的には可能なのだろうが、サービス品質の劣化(enshittification) のまた一例に思える
    • この変更は米国限定

  • GrapheneOSフォーラムには、すでにかなり前から同じスライド資料が上がっていた

  • 「rogueFedが会議主催者の実名を挙げた」という文で、FBIのことを指しているのか気になった

    • 実際にはFBIではなく、Cellebrite社員のAlex Rankmoreのことだった。スクリーンショットはスレッドの下のほうにある

  • なぜこれまでCellebrite機器が流出して分析された事例がなかったのか気になった。警察の機器管理がずさんなところも多いはずなのに

  • 「ハッキングに弱い」という表現は誇張のように思える。これらの資料は単なる古いチャートにすぎず、実際のところはLUKSで暗号化されたデスクトップ並みのセキュリティだ。
    BFU(電源オフ後・初回ロック解除前)状態のPixel端末をハッキングするには、結局パスワードを総当たりするしかない。
    数百万ドル規模のゼロデイ攻撃でもない限り、Pixel自体に暗号化を回避する脆弱性は存在しない